CVE-2026-40114

Name of the Vulnerable Software and Affected Versions PraisonAI versões anteriores a 4.5.128

Description PraisonAI é um sistema de equipes multiagentes. O endpoint /api/v1/runs aceita um webhook url arbitrário no corpo da requisição sem validação de URL. Ao concluir um trabalho (sucesso ou falha), o servidor envia uma requisição HTTP POST para esta URL usando httpx.AsyncClient. Isso permite que um invasor não autenticado faça com que o servidor envie requisições POST para destinos internos ou externos arbitrários, potencialmente habilitando a falsificação de requisição do lado do servidor (SSRF) contra serviços de metadados de nuvem, APIs internas e outros serviços adjacentes à rede.

Recommendations Atualize o PraisonAI para a versão 4.5.128 ou posterior.